协同平台Slack上周四(8/4)公告,系统出现一项漏洞可导致用户登录凭证曝光,已经对少数用户重设密码。
Slack这项漏洞发生在工做空间里创建共享邀请连接的功能上,由于“程序异常”,让Slack意外将密码发送给其他工做空间成员。但Slack表示,密码经过散列处理,因此所有Slack用户端都无法直接查看到密码内容,而且除非长时间监控Slack服务器的网络流量,也不会发现到这组密码。
这漏洞是由一位外部研究人员发现,于7月17日通报Slack。
受到影响的用户是4月17日到7月17日之间创建或撤销共享邀请连接的用户,Slack估计占总用户的0.5%,并在8月4日对这些用户发送通知。
Slack在接获通报后已经修补根本问题,并调查可能的影响。该公司表示不认为有任何人会因此取得用户纯文本格式的密码。不过Slack表示为安全起见,仍然为这些用户重设密码,他们必须设置新密码才能再次登录。
用户可在https://my.slack.com/account/logs查看账号的个人访问记录或下载完整的CSV报告。Slack也建议用户激活双重验证、使用的服务创建不重复的全新密码,以及善用密码管理工具,并确保计算机软件和杀毒软件更新到最新版本保护账号安全。